Corporate
Meteo
Oroscopo
Giochi
Affari Italiani.it. Il primo quotidiano digitale, dal 1996I rischi software e la finanza digitale
L’ultimo è stato il blocco di Nest, il sistema per la gestione di casa Google, che ha lasciato i suoi utenti letteralmente al gelo a gennaio di quest’anno. In campo finanziario sono stati clamorosi i fermi globali di HSBC che ha lasciato milioni di utenze senza accesso ai propri conti online e, ad esempio, anomalie software nel sistema governativo americano nel calcolo degli assegni di mantenimento per le coppie divorziate: un errore ne aumentava il valore da più di un anno.
Il caso di Royal Bank of Scotland è sintomatico di quello che è stato descritto come il problema dell’IT a doppia velocità tipico dei sistemi bancari: software vecchio di molti decenni che tuttora viene utilizzato per fare fronte ad un numero di transazioni e richieste che non potevano essere lontanamente previste quando gli ingegneri degli anni ’70 lo hanno architettato. Un piccolo errore nella gestione dei bonifici in un componente modificato ha bloccato le transazioni per una notte, ed i sistemi hanno dovuto lavorare a pieno ritmo per svariati giorni per recuperare il tempo perso mentre i clienti non avevano a disposizione i propri fondi: un vero disastro reputazionale.
In realtà anche i sistemi più moderni, come ad esempio il sistema che gestice le quotazioni del NASDAQ, non sono esenti dai difetti di funzionamento: nell’agosto 2013 i sistemi si sono bloccati per 3 ore a causa, per ammissione di Nasdaq OMX, gruppo gestore della piattaforma, di un tasso di richieste non previsto, che a sua volta ha incocciato in un difetto altrimenti poco visibile, nel dialogo dei dati con la controparte EuroNEXT. Un problema simile, su cui però sono ancora aperte le indagini, sempre in conseguenza di una modifica al software, ha causato il blocco del NYSE per quasi 4 ore nel luglio del 2015.
Bloomberg, RBS, Nissan, Starbucks: chi per poche ore, chi per giorni, ha dovuto lavorare per rimediare ai problemi causati dal software, e questo riguarda le notizie emerse negli ultimi 12 mesi.
Purtroppo non è un fenomeno recente e nemmeno la memoria della clamorosa bancarotta di Knight Capital del 2013 sembra avere insegnato l’importanza della gestione del rischio software: in quel frangente un “errore umano”, come si qualificherebbe in altri contesti, ha causato un effetto domino per cui in 45 minuti il sistema di trading ha accumulato perdite per più di 400 milioni di dollari.
Le risposte dei responsabili delle organizzazioni coinvolte si affannano a trovare giustificazioni additando in ultima istanza la complessità dei sistemi che devono gestire. Purtroppo in un mondo full digital, non vi sono scappatoie non digital: il business si ferma e non si possono effettuare soluzioni alternative (il caso più eclatante è quello di Starbucks: negozi di caffetteria, chiusi per via di un software bug che blocca i sistemi di cassa… e non è nemmeno previsto che si possano accettare i pagamenti cash e si possa continuare l’attività!).
Subire un “software glitch” (malfunzionamento) nell’era digitale è come un blackout nell’era dell’elettrificazione (tutti ricordiamo ancora gli effetti di quello del 2003 in Italia). In ogni caso possiamo riconoscere uno schema ricorrente: alta complessità, sistemi che non possono interrompersi, modifiche effettuate a componenti critici che dialogano con innumerevoli controparti, spesso operanti in condizioni non previste. La complessità inevitabilmente crescente dei sistemi software permea il mondo digitale e – secondo il paradigma della digital transformation – è diventata o sta diventando parte integrante di qualunque servizio/processo.
Una volta che si qualifica come connaturata ai processi, la complessità può essere misurata ed analizzata, e quindi preventivamente trattata, mitigandone gli aspetti che comportano rischi di business, senza doverla annullare o descrivere nella sua interezza. Questo è l’approccio pragmatico proposto da CAST (Euronext:CAS) nell’ambito della gestione dei rischi operativi del software. “Costituisce un eccellente strumento sul quale costruire nuovi vantaggi competitivi” afferma infatti Massimo Crubellati, Country Manager di CAST Italia.
Mentre l’attenzione del pubblico è rivolta a considerare i fattori di successo delle nuove applicazioni e dei nuovi modelli, il vero business si gioca tra chi soffre perdite di business perché le proprie applicazioni non sono resilienti e chi riesce a gestire l’inevitabile complessità dei propri parchi applicativi, offrendo ai propri clienti continuità di servizio, efficienza e sicurezza.
Sono proprio questi i KPI secondo cui CAST fotografa le dimensioni del rischio: facendo riferimento agli standard di CISQ/OMG, evoluzione dell’ISO 25010, ne permette una raffrontabilità nel tempo e tra diverse applicazioni. All’interno delle organizzazioni complesse, avere a disposizione una metrica oggettiva e non ambigua, misurabile automaticamente in modo replicabile e coerente nel tempo, su cui basare contratti, premi e penalità, ha un valore ineguagliato dal mercato: non è a caso che advisor del calibro di The Boston Consulting Group (BCG) lavorano proprio con CAST nell’ambito della gestione dei rischi operativi del software.
Infatti, nel disegno di nuovi servizi e modelli di business, vengono sfruttati sempre più i canali e gli strumenti propri del digitale, dalla online collaboration all’IOT. Questo mette a nudo il legame tra il business e la disponibilità dei sistemi: non parliamo degli aspetti infrastrutturali, ma degli aspetti applicativi. Per potere gestire le richieste del mercato senza stravolgere completamente le proprie strutture, le organizzazioni moderne stanno stratificando servizi fluidi come interfaccia con gli utenti, appoggiando questi ultimi sulle infrastrutture applicative precedenti. L’aggiunta di strati applicativi, se da un lato permette una maggiore rapidità nell’offrire funzionalità. Questo approccio è denominato IT duale o IT a doppia velocità. Ovunque questo sia presente, la gestione proattiva del rischio, per cordinare ed indirizzare gli sforzi indirizzati a mitigarlo, diventa conditio sine qua non per perseguire risultati stabili ed affidabili.
Vincent Delaroche, Chairman e CEO di CAST dice: “Uno degli aspetti più interessanti delle misurazioni del rischio quando parliamo con diversi team che lavorano a diversi strati applicativi degli stessi servizi è che di fronte a misure oggettive, trovano immediatamente spunto per mettersi all’opera, per mitigare i rischi operativi evidenziati, senza giocare più al rimbalzo delle responsabilità”.
Importante è poter coprire contemporaneamente le tecnologie più disparate: dai frontend mobile e tablet più recenti, ai sistemi più antichi (detti legacy) tuttora operativi per le transazioni bancarie e finanziarie:
“Sovente ci troviamo a misurare applicazioni scritte nel secolo scorso, a cui si sono aggiunti negli anni strati applicativi per il web ed il mobile che comportano criticità non prevedibili durante la progettazione iniziale: è indispensabile avere strumenti di orientamento e di prioritizzazione degli interventi come quelli offerti dalla nostra piattaforma di analisi e misurazione del software” conclude Vincent Delaroche. Infatti la tecnologia di CAST consente di analizzare i rischi nel software sviluppato integrando piattaforme multilivello, coprendo oltre 50 linguaggi di programmazione e relativi framework, creando una visione strutturale dei glitch potenziali prima che questi si verifichino.
Ulteriori approfondimenti sono disponibili nel CRASH report prodotto da CAST, dedicato al settore finanziario, che evidenzia le tendenze globali in termini di qualità strutturale del software applicativo in uso nelle aziende; l’analisi si basa sui cinque fattori di salute : Robustezza, Sicurezza, Efficenza, Trasferibilità e Modificabilità.
